Прокси-сервер нужна помощь

Kapitalist · 21.03.2013

Ситуация такова:
Есть один объект куда нужно в течении одного дня воткнуть прозрачный прокси на бубунте, заиметь к нему доступ по ssh и грамотно настроить iptables.
Запустить бубнту могу. Поднять сквида и немножко настроить могу. SSH с доступом по ключу тоже могу. А вот с iptables проблема.

Помогите пожалуйста. Дайте годных статей и советов мудрых.

KeJo · 21.03.2013

Kapitalist сказал(а):
Дайте годных статей и советов мудрых.

Поставь винду и не парься =)

Kapitalist · 21.03.2013

KeJo сказал(а):
Поставь винду и не парься =)

Спасибо! Ценная инфа)))

Johnny Mnemonic · 21.03.2013

Kapitalist сказал(а):
А вот с iptables проблема.

В чем заключается суть беды?

Johnny Mnemonic · 21.03.2013

KeJo сказал(а):
Поставь винду и не парься =)

ну ну!

evn · 21.03.2013

Kapitalist сказал(а):
Ситуация такова:
Есть один объект куда нужно в течении одного дня воткнуть прозрачный прокси на бубунте, заиметь к нему доступ по ssh и грамотно настроить iptables.
Запустить бубнту могу. Поднять сквида и немножко настроить могу. SSH с доступом по ключу тоже могу. А вот с iptables проблема.

Помогите пожалуйста. Дайте годных статей и советов мудрых.

ipfw кошернее

совет один. сначала запрещаем все и затем открываем необходимое.
по сквиду. собирай сразу с поддержкой mac acl
понадобится кому-то запретить...кому-то разрешить все. а так, как он у тебя планируется прозрачным...

Черный Лотос · 21.03.2013

evn сказал(а):
собирай сразу с поддержкой mac acl
понадобится кому-то запретить...кому-то разрешить все. а так, как он у тебя планируется прозрачным...

Спорный момент. Если для десятка человек, но можно. А если их сотня?
Лучше поставить самс и рулить сквидом оттуда.

По вопросу с айпитейблом не понятно, в чем проблема.
Если хочешь прозрачное проксирование, то примерно так надо
iptables -t nat -A PREROUTING -i eth1 -p tcp -m tcp --dport 80 \
-j DNAT --to-destination адрес_прокси:порт_прокси

iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp --dport 80 \
-j REDIRECT --to-ports порт прокси

evn · 21.03.2013

Черный Лотос сказал(а):
Спорный момент. Если для десятка человек, но можно. А если их сотня?
Лучше поставить самс и рулить сквидом оттуда.

По вопросу с айпитейблом не понятно, в чем проблема.
Если хочешь прозрачное проксирование, то примерно так надо
iptables -t nat -A PREROUTING -i eth1 -p tcp -m tcp --dport 80 \
-j DNAT --to-destination адрес_прокси:порт_прокси

iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp --dport 80 \
-j REDIRECT --to-ports порт прокси

самс не более, чем юзерфрендли редактор squid.conf

с таким же успехом можно установить webmin

ps у тебя nat уже работает?

Код:

iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 3128

squid.conf:

Код:

http_port 192.168.0.1:3128 transparent

Черный Лотос · 21.03.2013

п.с. Кстате, у тебя в проксе сколько сетевых задействовано?

Kapitalist · 21.03.2013

Добрался до места.
Задача такова:
1. Раздать всем интернеты через прозрачный прокси с двумя сетевыми интерфейсами
2. Запретить порнуху и одноклассников (планирую squidguard)
3. Пробросить порты для всяких клент-банков
4. Все это на ubuntu-server 12.04-LTS

Нашел очень простенький ман. Смущает Firestarter, т.к. гуя не будет (слишком слабая машина).

На данный момент настроена сеть локалка/внешка. Есть доступ по ssh...и система обновляется уже 45 минут. И это при скорости 20 гигабитов. Напоминаю ubuntu-server. Думается нужно заменить аппаратную часть.

Черный Лотос · 21.03.2013

1. С этим думаю проблем не возникнет у тебя.
2. Или сквидгард или ацлками сквида напрямую.
3. Пробрасывать порты для клиент банков не нужно, так как они используют не 80 порт. Если это будет интернет-банк, то тогда можешь в айпитейбле сделать специальное правило что бы 80 порт с айпи(маком) компа натились, а не редиректились на проксю.

evn · 21.03.2013

Kapitalist сказал(а):
Добрался до места.
Задача такова:
1. Раздать всем интернеты через прозрачный прокси с двумя сетевыми интерфейсами
2. Запретить порнуху и одноклассников (планирую squidguard)
3. Пробросить порты для всяких клент-банков
4. Все это на ubuntu-server 12.04-LTS

Нашел очень простенький ман. Смущает Firestarter, т.к. гуя не будет (слишком слабая машина).

На данный момент настроена сеть локалка/внешка. Есть доступ по ssh...и система обновляется уже 45 минут. И это при скорости 20 гигабитов. Напоминаю ubuntu-server. Думается нужно заменить аппаратную часть.

1 и 3 нужен нат
запрет..можно для начала ацл в текстовый файл и там список негодных сайтов.

Johnny Mnemonic · 21.03.2013

Kapitalist сказал(а):
И это при скорости 20 гигабитов.

хренасебе скорость! что за провайдер?

Kapitalist · 22.03.2013

Johnny Mnemonic сказал(а):
хренасебе скорость! что за провайдер?

Эт я немножко наркоман)))

После долгих попыток реанимировать имеющийся сервак переставил все нафик. Теперь есть nat, заведены группы пользователей и уже по группам фильтрация squidguard'ом. Но не правильно же это. Попытки настроить iptables грамотно успехом не увенчались, зато теперь знаю как очищать таблицы правил iptables, используя cron.

На выходных попробую довести до ума, а уж затем выкину свои творения на суд.

Johnny Mnemonic · 23.03.2013

Kapitalist сказал(а):
Попытки настроить iptables грамотно успехом не увенчались,

Ты скажи, что ты хочешь настроить

Kapitalist · 31.03.2013

Сейчас все расскажут.

Vug · 31.03.2013

Всем добрый вечер.
Сервер Ubuntu 12.04 стоит Squid 3
НЕ РАБОТАЕТ ПОЧТА, т.е. нет проброса по 25 и 110 порту.
Как сделать не знаю пробывал разные вариант, но что то гдето не так.
eth0 Link encap:Ethernet HWaddr 00:21:91:20:be:1e
inet addr:198.196.3.184 Bcast:198.196.3.255 Mask:255.255.255.0
inet6 addr: fe80::221:91ff:fe20:be1e/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:77795 errors:0 dropped:0 overruns:0 frame:0
TX packets:76780 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:8324482 (8.3 MB) TX bytes:70753016 (70.7 MB)
Interrupt:21 Base address:0xe000

eth1 Link encap:Ethernet HWaddr 00:11:25:ab:b5:ba
inet6 addr: fe80::211:25ff:feab:b5ba/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:75790 errors:0 dropped:0 overruns:0 frame:0
TX packets:58470 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:72172583 (72.1 MB) TX bytes:7791264 (7.7 MB)

lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:22 errors:0 dropped:0 overruns:0 frame:0
TX packets:22 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:1484 (1.4 KB) TX bytes:1484 (1.4 KB)

ppp0 Link encap

oint-to-Point Protocol
inet addr:188.235.128.30 P-t-P:10.80.127.254 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1492 Metric:1
RX packets:75487 errors:0 dropped:0 overruns:0 frame:0
TX packets:58170 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:3
RX bytes:70493438 (70.4 MB) TX bytes:6502173 (6.5 MB)
eth1 - интернет
eth0 - локалка.
Filter
Chain INPUT (policy ACCEPT)
target prot opt source destination

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

NAT
Chain PREROUTING (policy ACCEPT)
target prot opt source destination
DNAT tcp -- anywhere anywhere tcp dpt:http to:198.196.3.184:3128
REDIRECT tcp -- anywhere anywhere tcp dpt:http redir ports 3128
DNAT tcp -- anywhere anywhere tcp dpt:http-alt to:198.196.3.184:3128
REDIRECT tcp -- anywhere anywhere tcp dpt:http-alt redir ports 3128

Chain INPUT (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Chain POSTROUTING (policy ACCEPT)
target prot opt source destination

ХЕЛП!!!!!!!!

Vug · 31.03.2013

Делал так:

NAT
iptables -t nat-A POSTROUTING -o eth1 -j MASQUERADE

Filtr
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT
iptables -A INPUT -p icmp --icmp-type destination-unreachable -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
iptables -A INPUT -p icmp --icmp-type time-exceeded -j ACCEPT
iptables -A INPUT -p tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j REJECT --reject-with tcp-reset
iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 53 -j ACCEPT
iptables -A INPUT -p udp -m state --state NEW --dport 53 -j ACCEPT
iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 67 -j ACCEPT
iptables -A INPUT -p udp -m state --state NEW --dport 67 -j ACCEPT
iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 3128 -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth0 -o eth1 -m tcp -p tcp --dport 25 -j ACCEPT
iptables -A FORWARD -i eth0 -o eth1 -m tcp -p tcp --dport 110 -j ACCEPT
iptables -A FORWARD -i eth0 -o eth1 -m tcp -p tcp --dport 53 -j ACCEPT
iptables -A FORWARD -i eth0 -o eth1 -p udp --dport 53 -j ACCEPT
Не работает.

Прокси-сервер нужна помощь

Kapitalist

Новичок

KeJo

Участник

Kapitalist

Новичок

Johnny Mnemonic

Новичок

Johnny Mnemonic

Новичок

evn

LPD: Земля

Черный Лотос

Новичок

evn

LPD: Земля

Черный Лотос

Новичок

Kapitalist

Новичок

Черный Лотос

Новичок

evn

LPD: Земля

Johnny Mnemonic

Новичок

Kapitalist

Новичок

Johnny Mnemonic

Новичок

Kapitalist

Новичок

Vug

Начинающий

Vug

Начинающий